최근 서울시 공공 자전거 따릉이가 뚫렸다. 그것도 거대 범죄조직이 아니라 중학생 해커에 의해 시작된 침입이었다. 460만건이 넘는 회원 정보가 유출됐고, 아이디와 휴대전화 번호, 이메일, 주소, 생년월일, 성별, 체중까지 포함됐다. 다행히 이름과 주민등록번호는 없었다고 한다.
하지만, 이 사건의 본질은 ‘무엇이 빠졌는가’가 아니다. 공공 데이터가 얼마나 쉽게 노출될 수 있는지, 그리고 그 파장이 어디까지 이어질 수 있는지에 있다.
따릉이는 단순한 자전거 대여 서비스가 아니다. 서울 시민의 이동 패턴이 축적되는 플랫폼이다. 출퇴근 시간, 활동 반경, 생활권 데이터가 자연스럽게 쌓인다. 시민은 공공서비스라는 이유로 낮은 경계심 속에서 정보를 맡긴다. 선택적 계약이 아니라 생활의 일부이기 때문이다.
그래서 공공기관의 정보 유출은 민간기업과는 차원이 다르다. 그것은 행정 신뢰의 균열이다.
이 균열은 곧바로 보이스피싱 구조와 연결된다. 많은 이들이 보이스피싱을 금융기관의 문제로 본다. 그러나 금융기관은 돈이 빠져나가는 통로일 뿐이다. 범죄의 출발점은 언제나 정보다. 이름, 전화번호, 주소, 생년월일, 활동 패턴이 확보된 뒤에야 시나리오가 설계된다.
지자체와 공공기관의 데이터는 가장 신뢰도 높은 ‘원천 데이터’다. 그래서 공공기관의 유출은 단순 사고가 아니라 범죄 인프라 제공과 다르지 않다.
“자전거 정보가 유출되면 좀 어떤가”라는 말은 가장 위험한 생각이다. 작은 유출을 가볍게 여기면 다음 유출은 더 쉽게 용인된다. 공공주차, 도서관, 복지포털, 교통카드, 의료 데이터로 이어지는 연결고리는 그렇게 시작된다.
정보는 단독으로는 약해 보이지만, 결합되는 순간 무기가 된다. 보이스피싱은 바로 그 ‘결합’을 먹고 자라는 범죄다.
보이스피싱 조직은 무차별적으로 전화하지 않는다. 이미 확보한 불법 DB와 교차 대조해 지역·연령·직업군을 필터링한다. 공공서비스 이용 여부는 타깃 정밀도를 높이는 지표다. 특히 취약계층에게 위험하다. 서울시 교통 환급금, 공공요금 오류 정정, 지자체 지원금 미수령이라는 접근은 공공 명칭이 들어가는 순간 신뢰를 동반한다.
정보 유출은 범죄의 신뢰도를 높이는 연료가 된다.
이제 시선을 서울에서 경기도로 돌려보자. 특히 수원시, 성남시, 시흥시에서는 가족 사칭형, 기관 사칭형, 대출빙자형 피해가 반복적으로 발생했다. 산업과 주거가 혼재돼있고, 청년·고령 인구가 함께 거주하는 구조는 범죄 표적화에 취약하다.
통신 인프라가 촘촘한 만큼 범죄 접근도 빠르다. 서울에서 시작된 정보 유출의 파장이 이 지역까지 번지지 않는다고 장담할 수 없다.
경기도는 자치경찰과 협조 체제를 구축해 보이스피싱을 단순 금융범죄가 아니라 ‘지역 안전 인프라 문제’로 격상해야 한다. 따릉이 해킹과 지역 피해를 연결한 통합 대응 모델을 제시하는 것이 출발점이어야 한다.
지자체는 수동적 관리자가 되어서는 안 된다. 유출 사고 발생 시 즉각 보이스피싱 위험 경보 체계를 가동해야 한다. 특정 데이터가 노출되면 해당 지역 주민에게 선제적으로 경고 문자를 보내는 시스템이 필요하다. 택시기사 조합, 배달업 협회, 통신사와 의심 사례를 공유하는 지역 네트워크도 구축해야 한다.
범죄는 연결망 속에서 움직이므로, 대응도 연결망이어야 한다.
보이스피싱 예방 소프트웨어에 대한 공공투자도 절실하다. AI 기반 음성 분석, 실시간 의심 통화 차단, 지자체 데이터와 연계된 위험도 예측 모델은 충분히 개발 가능하다. 한국은 세계 최고 수준의 통신 인프라를 갖고 있다. 문제는 기술이 아니라 우선순위다.
정보 유출을 단순 사고로 볼 것인가, 범죄 생태계의 출발점으로 인식할 것인가에 따라 정책의 무게는 달라진다.
서울시는 이번 사건을 단순히 소년 해커의 일탈로 넘어가서는 안 된다. 중학생이 독학으로 침투했다는 사실은 시스템의 허술함을 보여준다. 이것은 개인의 과시욕이 아니라 구조의 허점이다. 구조를 고치지 않으면 다음 침입자는 더 정교해질 것이다. 그리고 그때는 단순 정보 유출이 아니라 실시간 데이터 탈취가 될 수도 있다.
공공기관의 정보는 국민이 믿고 맡긴 것이다. 그렇다면 보호 수준은 민간보다 더 높아야 한다. 정례적 침투 테스트, 외부 보안 감사, 관리자 책임 강화는 기본이다. 임기 중심 행정이 아니라 시스템 중심 행정으로 전환해야 한다. 데이터베이스는 도로와 교량만큼 중요한 국가 인프라다.
보이스피싱 피해자 지원과 구제를 위해 금융기관·지자체·자치경찰위원회의 ESG 활동을 강조하며 관련 연대 활동을 이끌고 있는 전 군산대 조용환 교수는 보이스피싱 피해자 모임을 결성해 전국적 연대로 확대하겠다는 구상을 밝혔다.
조 교수는 이재명 대통령이 보이스피싱을 ‘서민 대상 극악 범죄’로 규정한 점을 상기시키며, 금융기관 단속 이전에 지자체 공공 데이터 유출 차단이 선행돼야 한다고 강조했다.
결국 질문은 다시 ‘따릉이 해킹 이후, 경기도는 안전한가’ ‘ 반복 피해가 이어지는 수원·성남·시흥은 기존 대응만으로 충분하다고 말할 수 있는가’ ‘서울의 공공 데이터 유출이 지역 범죄 위험으로 전이되는 구조를 차단할 준비가 돼있는가’ 등의 제목으로 돌아온다.
답은 분명하다. 금융 통로를 막는 것만으로는 부족하다. 출발점인 정보 원천을 지켜야 한다. 그리고 그 책임은 중앙만이 아니라 지역에 있다. 지자체와 자치경찰이 움직여야 한다. 공공 데이터 보호와 지역 보이스피싱 대응을 하나의 통합 전략으로 묶을 때 비로소 경기 남부는 안전하다고 말할 수 있다.
따릉이 해킹은 작은 사건이 아니다. 그것은 보이스피싱을 어디서부터 막아야 하는지를 보여준 사건이다. 금융은 통로며, 원천은 정보다. 그리고 그 정보를 지키는 최전선은 지역이다. 제목은 질문이지만, 부제는 답이다. 수원·성남·시흥에서 반복되는 피해를 멈추고 싶다면, 이제 지자체와 자치경찰이 움직여야 한다.
<skkim5961@naver.com>
